Sự bùng phát của đại dịch COVID-19 khiến hàng trăm triệu người buộc phải làm việc, học tập tại nhà, nhu cầu đối với các nền tảng hỗ trợ làm việc trực tuyến nói chung và hội nghị trực tuyến (video call) nói riêng cũng vì thế mà tăng mạnh. Microsoft Teams là ví dụ điển hình, nền tảng hỗ trợ làm việc từ xa này đã đạt mức ức tăng trưởng ấn tượng trong tháng 4 vừa qua, với lượng người dùng thường xuyên tăng tới 70% chỉ trong vòng hơn 1 tháng.
Tuy nhiên, đây cũng chính là lý do khiến Microsoft Teams bất đắc dĩ trở thành đối tượng tấn công mới mà những kẻ lừa đảo trực tuyến đang nhắm tới.
Theo phát hiện mới nhất từ tổ chức bảo mật Abnormal Security, những kẻ tấn công đã bắt đầu gửi email mạo danh thông báo tự động từ Microsoft Teams để đánh lừa người dùng, sau đó đánh cắp thông tin đăng nhập của nạn nhân mà họ không hề hay biết.
Email giả mạo được thiết kế cực kỳ tỉ mỉ, với các liên kết dẫn đến trang đích độc hại cũng trông giống hệt với website hợp pháp của Microsoft. Đặc biệt, các cuộc tấn công mà Abnormal Security ghi nhận không có xu hướng nhắm đến những cá nhân hay doanh nghiệp thuộc 1 lĩnh vực cụ thể như nhiều chiến dịch phishing khác. Thay vào đó, email độc hại có thể được gửi đến cho bất kỳ ai, khiến tỷ lệ lây nhiễm cũng vì thế mà khó kiểm soát hơn.
Để lẩn tránh các công cụ phát hiện liên kết độc hại và ẩn URL thực của tên miền đang được sử dụng để tổ chức các cuộc tấn công, hacker dùng chiến thuật chuyển hướng URL nhiều lần (multiple URL redirects). Đã có ít nhất 2 chiến dịch tấn công phishing riêng biệt nhắm tới Microsoft Teams được Abnormal Security ghi nhận chỉ trong tháng 4.
Ở cuộc tấn công thứ nhất, email lừa đảo chứa liên kết đến tài liệu được lưu trữ trên 1 trang web sử dụng bởi 1 công ty tiếp thị email. Tài liệu này có chứa 1 hình ảnh yêu cầu người dùng đăng nhập vào tài khoản Teams của họ. Khi nhấp vào hình ảnh, nạn nhân sẽ được chuyển hướng đến trang đích giả mạo trang đăng nhập tài khoản Microsoft Office để đánh cắp thông tin đăng nhập.
Trong chiến dịch thứ hai, liên kết trong email sẽ chuyển hướng người dùng đến một page trên YouTube và sau đó chuyển hướng thêm một vài lần nữa trước khi đến với trang đích đánh cắp thông tin xác thực. Vì Microsoft Teams được liên kết với Microsoft Office 365, kẻ tấn công có thể có quyền truy cập vào những dữ liệu khác có liên kết với thông tin đăng nhập Microsoft của nạn nhân thông qua đăng nhập một lần.
2 chiến dịch này nhiều khả năng không cùng một nguồn gốc. Chúng có nội dung và phương thức phân phối payload khác nhau. Đồng thời sử dụng thông tin người gửi cũng không giống nhau.
Cách đây vài ngày, một lỗ hổng nghiêm trọng khác cũng đã được phát hiện trên Microsoft Teams, cho phép hacker chiếm đoạt tài khoản người dùng chỉ bằng một tệp GIF.
Nhìn chung, hình thức lừa đảo này tuy đã được thiết kế tinh vi hơn nhưng về bản chất không phải là mới mẻ. Dẫu vậy, nó sẽ vẫn nguy hiểm với những người dùng phổ thông không có nhiều kiến thức về bảo mật.